Jeżeli ktoś uruchomi jakiś program na Twoim komputerze, to ten komputer przestaje być już Twój.
ransomware)
Ransomware (25 października 2016)
Ransomware to złośliwe oprogramowanie specjalnego rodzaju. Po zainfekowaniu Twojego komputera szyfruje wszystkie Twoje pliki i żąda opłaty (okupu) jeśli chcesz je odzyskać. Podejrzliwie traktuj wszystkie maile nakłaniające Cię do otwarcia załącznika, kliknięcia w link – mogą być złośliwe. Pamiętaj: zdrowy rozsądek to najlepsza obrona. Zadbaj o kopię zapasową swoich danych – najczęściej jest to jedyny sposób odzyskania ich po zaszyfrowaniu przez ransomware.
Wydarzenia z nagłówków gazet (31 sierpnia 2016)
Gdy media podejmują temat istotnego wydarzenia, cyberprzestępcy wykorzystują falę zainteresowania wśród ludzi i rozsyłają im wiadomości związane z tym incydentem, ale mające na celu infekcję komputera, bądź wyłudzenie informacji lub środków finansowych (phishing).
Takie wiadomości mejlowe zazwyczaj zawierają link do złośliwej strony internetowej, zainfekowany załącznik lub bardzo atrakcyjną ofertę, która nie ma pokrycia w rzeczywistości.
Kopia bezpieczeństwa Twoich plików (12 sierpnia 2016)
Tak, prawdopodobnie utracisz swoje dane w wyniku awarii lub działalności cyberprzestępców. Przygotuj się na tę sytuację tworząc kopię bezpieczeństwa (zapasową) tych danych. Najczęściej to właśnie zabezpieczenie pozwala je odzyskać.
Tworzenie kopii zapasowej jest proste i tanie, ale ma sens tylko wtedy, gdy wykonywana jest regularnie. Nie odkładaj tego na później, zabezpiecz swoje prywatne dane (na przykład zdjęcia rodzinne) już teraz!
Badacze z firmy Cisco przyczynili się do rozbicia infrastruktury cybergangu, który infekując komputery złośliwym oprogramowaniem, szantażował ofiary na kwotę około 30 milionów dolarów rocznie. Z analiz sprawy wynika, że z użyciem oprogramowania atakującego Angler Exploit Kit, skutecznie zarażali 90 tysięcy maszyn DZIENNIE!
Atakujący między innymi wykorzystywali atakowania legalne reklamy w legalnych serwisach internetowych. Analiza serwera monitorującego 147 serwerów proxy wykorzystywanych przez cyberprzestępców wykazała, że miesięcznie generowali oni 3 miliony dolarów z okupów płaconych przez ofiary oprogramowania typu RansomWare.
Badacze z firmy Cisco oszacowali, że 40% zaatakowanych z użyciem oprogramowania Angler Exploit Kit zostało skutecznie zainfekowanych! 62% zainfekowanych ofiar szyfrowano dane celem uzyskania okupu za odszyfrowanie danych.
Złośliwe oprogramowanie typu ransomware, po zainfekowaniu systemu operacyjnego, wybiera popularne pliki takie jak np. dokumenty, zdjęcia itp. i szyfruje je, usuwając ich oryginały. By odzyskać dane, ofiara jest zmuszona do zapłaty określonej kwoty. Nigdy oczywiście nie ma pewności czy po zapłaceniu otrzymamy hasło do odszyfrowania dokumentów ale część z grup cyberprzestępczych, które rozsyłają takie złośliwe oprogramowanie odsyła takie klucze. Zdają sobie sprawę z tego, że jeśli ludzie będą wiedzieli, że po zapłaceniu i tak nie otrzymają kasy – nikt nie będzie im płacił. Czytaj dalej »
Pisałem nie tak wcale dawno o trojanach szyfrujących pliki użytkowników, które można odzyskać uiszczając opłatę w wysokości 10$ (uprzednio kontaktując się z autorem w kwestii sposobu płatności). Jak się okazuje nie wszystko jest tym na co wygląda. W konkretnym opisywanym przypadku jeden z czytelników bloga firmy Fireeye, po zainfekowaniu swojego systemu złośliwą aplikacją napisał do autora trojana w celu deszyfracji, a ten odpisał mu, że aby uratować dane musi dokonać wpłaty 50$ (a nie 10) na jego konto w systemie PayPal.
Szybka i konkretna renegocjacja oferty :] Zamiast 10$ pojawiło się 50$. Albo autor złośliwej aplikacji zdobył masę ofiar zaaferowanych utraconym dostępem do danych, które są gotowe zapłacić każdą w miarę rozsądną cenę i postanowił ów fakt wykorzystać i zarobić jeszcze więcej albo wręcz przeciwnie ofiar zdobył mało i postanowił zwiększając cenę dorobić do oczekiwanych zarobków.
Po bardziej wnikliwej analizie okazało się, że trojan dodatkowo zostawia sobie backdoora w systemie oraz kradnie dane związane z wszelakimi hasłami czy danymi identyfikującymi.
Wniosek nasuwa mi się jeden. Współpracując w jakikolwiek sposób z terrorystami (choćby spełniając ich żądania) – zwyczajowo doprowadzamy do większych strat i tragedii ;]
PS: Przypominam, że istnieje darmowa odtrutka deszyfrująca utracone pliki.
Źródło: http://blog.fireeye.com/research/2009/06/ransome-pay-me-more-part-ii.html
Pojawił się nowy szkodnik szyfrujący wszystkie popularne pliki użytkownika z końcówką .jpg, .zip, .doc itp. Po zaszyfrowaniu danych wyświetlany jest (w postaci zmienionego obrazu tła pulpitu) komunikat w języku rosyjskim. Oczywiście aby odszyfrować swoje dane należy zgłosić się do autora trojana i uiścić opłatę w wysokości 10 dolarów lub 350 rubli. Dla tych zainfekowanych, którzy chwilę poszukają w sieci, przygotowany został program, który potrafi odszyfrować utracone pliki. Firma Dr. Web udostępniła aplikację pod adresem:
ftp://ftp.drweb.com/pub/drweb/tools/te37decrypt.exe
Sam szkodnik nie dopisuje się do skryptów startowych i przy restarcie systemu jest automatycznie usuwany.
Wolne tłumaczenie na język angielski rzeczonego komunikatu:
Hello I’m a Trojan Encoder, or to be more exact, one of its variants::)
My author goes by the handle CORRECTOR and he’s happy to offer you decryption for those files that I had time to encrypt on your computer for the economical sum of $10 or about 350 Rubles here is how to contact my author:
Mail: otrazhenie_zla@mail.ru icq 481095
oh by the way almost forgot don’t erase the files with the extension vscrypt if you delete them getting your information back will be impossible
Good luck sincerely your Trojan encoder and CORRECTOR.
Źródło: http://blog.fireeye.com/research/2009/06/ransome-pay-me-more.html
Pisałem kilka dni temu o nowych wersjach złośliwego oprogramowania, które blokuje dostęp do systemu operacyjnego (tudzież wyświetla strony pornograficzne) i ratunkiem jest opłacenie haraczu za pomocą wysłanego SMSa. W sieci pojawiły się już gotowe pakiety takiego oprogramowania wystawione na sprzedaż. Cena za taki interesujący soft wynosi 10 $ plus ewentualnie 5 $ za wersję niewykrywalną przez programy antywirusowe. Dla zaawansowanych praktyków za jedyne 50 $ możemy nabyć cały pakiet włącznie z kodem źródłowym aplikacji. Do najciekawszych funkcji należą:
Co prawda aplikacje te w większości odwiedzają użytkowników wykorzystujących do komunikacji język rosyjski ale z uwagi na szybką adaptację wszelkich nacji w środowisku możemy spodziewać się, że już niedługo podobne aplikacje zawitają pod polskie systemy operacyjne…
Źródło: http://ddanchev.blogspot.com/2009/05/3rd-sms-ransomware-variant-offered-for.html
Parę dni temu pisaliśmy o kolejnym oprogramowaniu Ransomware czyli takim, które poprzez swoje szkodliwe działanie nakłania użytkownika do zapłacenia określonej kwoty. W opisywanym przypadku system Windows był blokowany i po wysłaniu wiadomości SMS mogliśmy uzdrowić swoją maszynę. Jak widać model ten sprawdza się idealnie gdyż przestępcy poszli o krok dalej. Mianowicie złośliwe oprogramowanie Hexzone instaluje się jako plugin przeglądarki WWW (Browser Helper Object) i dokonuje wyświetlania zawartości pornograficznej, niezależnie od wpisanej strony internetowej. Oczywiście aby wszechobecną pornografię wyłączyć, należy dokonać opłaty za pomocą drogiego SMSa. Z jednej strony śmieszne, z drugiej tragiczne, a z trzeciej jak się nad tym bardziej zastanowić to taki bloker to istny raj dla niektórych użytkowników. Nie muszą poszukiwać stron z darmową pornografią i jakże by nie klikali zawsze zobaczą porno ;] Jedynym mankamentem może być fakt, że zawartość tych stron może nie być często aktualizowana i podejrzewam, że właśnie chęć zmiany otoczenia będzie największym motywatorem do wysłania SMSa ;]]] Aha i całe to wesołe oprogramowanie zostało znalezione w prawie 2 milionowym botnecie, o którym pisaliśmy ostatnio.
Źródło: http://blog.fireeye.com/research/2009/04/hexzone-ransomware-and-finjan.html
Ekipa z firmy Fireeye odkryła nowy rodzaj złośliwego oprogramowania typu Ransomware czyli takiego, które w jakiś sposób blokuje dostęp do danych/systemu użytkownika, aby następnie w celu odblokowania nakłonić ofiarę do stosownej opłaty. Opisywanym już przypadkiem był na przykład program, który szyfrował ważne pliki na zarażonym komputerze, następnie usuwał je i prosił o wpłacenie odpowiedniej kwoty w celu uzyskania hasła umożliwiającego odszyfrowanie plików. W nowo odkrytej próbce jest trochę ciekawiej, gdyż blokowany jest całkowicie dostęp do systemu Windows, a na ekranie użytkownika wyświetlany jest komunikat informujący, że jedyną możliwością odzyskania dostępu do systemu operacyjnego jest wysłanie SMSa o odpowiedniej treści (odpowiednio także kosztującego), który wygeneruje hasło, dzięki któremu możliwe będzie odblokowanie systemu. Sam trojan dodaje się do wpisów rejestru i jest uruchamiany każdorazowo ze startem systemu. Pierwsze wersje posiadają co prawda opis w języku rosyjskim ale podejrzewam, że niedługo przyjdzie czekać nam na wersje zunifikowane pod dowolny z języków. Dodatkowo soft komunikuje się z domeną: ogggooogoggoog com zapewne w celach statystycznych. W wersji bardziej rozszerzonej dodatkowo w prezencie otrzymujemy wpis w rejestrze, blokujący nam możliwość uruchomienia systemu Windows w trybie awaryjnym, a wyświetlany obraz przypomina klasycznego BlueScreena. Tyle dobrego, że aplikacja nie usuwa ani nie koduje danych użytkownika i przy odrobinie zaangażowania możliwe jest usunięcie szkodnika. Ciekawe co jeszcze zostanie wymyślone w tej zacnej materii…